Mitigare barare e amp; Frode elettorale nei concorsi online ...
Gestiamo concorsi online di vario genere che coinvolgono utenti che votano per le voci (di solito un voto per utente al giorno). I premi vanno da centinaia a migliaia di dollari. Negli ultimi quattro anni ci siamo imbattuti in un certo numero di modi in cui le persone cercano di imbrogliare e hanno implementato misure couter per ogni caso. Allo stato attuale, utilizziamo le seguenti misure:
Autenticazione
Un utente deve creare un account e autenticarsi (accedere). Questo esclude il riempimento dei voti anonimi.
Conferma email Un utente deve confermare il proprio indirizzo e-mail facendo clic su un collegamento nell'e-mail di sistema per confermare di essere il proprietario e avere accesso al proprio indirizzo. Questo esclude la creazione di account in massa utilizzando indirizzi email casuali (non necessariamente validi). Rallenta anche il processo un po 'per un account, e molto se stai cercando di crearne molti.
Nessun alias di indirizzo Gmail
Gli utenti non possono utilizzare gli indirizzi alias istantanei come [email protected]. Ciò rallenta potenziali imbroglioni.
Misure aggiuntive
Revisioniamo regolarmente le nostre registrazioni e liste di votazione per stringhe di indirizzi e-mail che provengono dallo stesso dominio privato ([email protected], [email protected], ecc.). Cerchiamo anche nomi simili, nomi utente e "parti locali" di indirizzi email tra domini.
Inoltre, mostriamo gli aggiornamenti dei risultati delle votazioni su base giornaliera, quindi non ci sono feedback immediati. In questo modo, se qualcuno sta cercando di imbrogliare, ci vorrà un giorno per vedere i risultati e, a meno che non siano grandi, non sapranno con certezza se il loro metodo ha avuto successo. Cerchiamo di essere il più possibile una "scatola nera".
Inutile dire che tutto questo è estenuante e sta diventando sempre più difficile scalare. Abbiamo bisogno di una soluzione più semplice per assicurarci di essere molto più vicini a "una persona, un voto" nei nostri concorsi, senza appesantire l'utente oltre il bisogno nel processo.
Abbiamo esplorato la possibilità di utilizzare SMS per allegare numeri di cellulare ai conti per verificare la persona; la giuria è ancora fuori su questo approccio: link e I messaggi di testo SMS possono essere utilizzati per verificare l'identità univoca di una persona tramite un sistema di codice breve? .
Alcuni suggerimenti hanno incluso l'uso di carte di credito, verifica della posta, punti di reputazione ... ma sono troppo onerosi per i nostri utenti target.
Che altro possiamo fare automaticamente nel back-end per 1) identificare i cheaters e, soprattutto, 2) impedirgli di imbrogliare anche?
UPDATE
Abbiamo deciso di non rendere la nostra protezione antifrode a prova di perdite perché uno degli sviluppatori ha sottolineato che "più difficile è che la gente imbrogli, più difficile è rilevare l'imbroglio". Invece, stiamo utilizzando una tecnica di caccia cinese medievale chiamata Battaglia a tre facce. Rendendo molto difficile imbrogliare nella maggior parte dei modi, ma relativamente facile da scivolare in altri modi, sappiamo esattamente cosa cercare ed eliminare prima che i risultati delle votazioni vengano aggiornati.
Cerchiamo modelli di voti, come ad esempio un concorrente che riceve una serie di voti equamente distribuiti, quindi guarda i conti associati a quei voti. Se esiste un modello per i conti, eliminiamo tali account e i voti associati scompaiono con loro.